Azure Database for PostgreSQL インフラストラクチャの二重暗号化
適用対象:
Azure Database for PostgreSQL - 単一サーバー
重要
Azure Database for PostgreSQL - シングル サーバーは廃止パスにあります。 Azure Database for PostgreSQL - フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for PostgreSQL - フレキシブル サーバーへの移行の詳細については、Azure Database for PostgreSQL 単一サーバーの現状に関するページを参照してください。
Azure Database for PostgreSQL は、Microsoft のマネージド キーを使用してデータに対して保存データのストレージ暗号化を使用します。 バックアップを含むデータはディスク上で暗号化され、この暗号化は常に有効であり、無効にすることはできません。 暗号化について、Azure のストレージ暗号化に FIPS 140-2 検証済み暗号化モジュールと AES 256 ビット暗号化が使用されます。
インフラストラクチャの二重暗号化は、サービス マネージド キーで 2 番目の暗号化レイヤーを追加します。 FIPS 140-2 の検証された暗号化モジュールを使用しますが、暗号化アルゴリズムは異なります。 これにより、保存データの保護レイヤーが追加されます。 インフラストラクチャの二重暗号化に使用されるキーは、Azure Database for PostgreSQL サービスによっても管理されます。 インフラストラクチャの二重暗号化は、追加の暗号化レイヤーがパフォーマンスに影響を与える可能性があるため、既定では有効になっていません。
Note
この機能は、Azure Database for PostgreSQL の "汎用" および "メモリ最適化" 価格レベルでのみサポートされています。
インフラストラクチャ レイヤーの暗号化には、ストレージ デバイスまたはネットワーク ワイヤに最も近いレイヤーに実装する利点があります。 Azure Database for PostgreSQL は、サービス マネージド キーを使用して、2 つの暗号化レイヤーを実装します。 厳密にはサービス レイヤーにあっても、保存データが格納されているハードウェアに非常に近いものです。 必要に応じて、プロビジョニングされた PostgreSQL サーバーのユーザーのマネージド キーを使用して、保存データの暗号化を有効にすることもできます。
インフラストラクチャ レイヤーでの実装では、キーの多様性もサポートされます。 インフラストラクチャは、コンピューターとネットワークのさまざまなクラスターを認識している必要があります。 それにより、さまざまなキーを使用すると、インフラストラクチャ攻撃の影響範囲とさまざまなハードウェアおよびネットワーク障害を最小限に抑えることができます。
Note
インフラストラクチャの二重暗号化を使用すると、追加の暗号化プロセスによって Azure Database for PostgreSQL サーバーのパフォーマンスが影響を受けます。
メリット
Azure Database for PostgreSQL のインフラストラクチャの二重暗号化には、次の利点があります。
- さらに多様性が増した暗号化実装 - ハードウェア ベースの暗号化への計画的な移行により、ソフトウェア ベースの実装に加えて、ハードウェア ベースの実装が提供されるため、実装がさらに多様化します。
- 実装エラー - インフラストラクチャ レイヤーでの 2 つの暗号化レイヤーにより、プレーンテキスト データを公開する上位層でのキャッシュまたはメモリ管理のエラーから保護されます。 また、この 2 つのレイヤーは、一般に暗号化の実装のエラーに対しても保証します。
これらの組み合わせにより、暗号に対する攻撃に使用される一般的な脅威や弱点に対する強力な保護が提供されます。
インフラストラクチャの二重暗号化でサポートされるシナリオ
Azure Database for PostgreSQL によって提供される暗号化機能を一緒に使用することもできます。 使用できるさまざまなシナリオの概要を次に示します。
| ## | 既定の暗号化 | インフラストラクチャの二重暗号化 | カスタマー マネージド キーを使用したデータ暗号化 |
|---|---|---|---|
| 1 | はい | いいえ | いいえ |
| 2 | はい | はい | いいえ |
| 3 | はい | いいえ | はい |
| 4 | はい | はい | あり |
重要
- シナリオ 2 と 4 は、追加のインフラストラクチャ暗号化レイヤーによって、Azure Database for PostgreSQL サーバーのパフォーマンスに影響を与えます。
- Azure Database for PostgreSQL のインフラストラクチャの二重暗号化の構成は、サーバーの作成時にのみ許可されます。 一度サーバーがプロビジョニングされると、ストレージ暗号化を変更することはできません。 ただし、インフラストラクチャの二重暗号化を使用して作成されたサーバーもそうでないサーバーも、カスタマー マネージド キーを使用してデータの暗号化を有効にすることもできます。
制限事項
Azure Database for PostgreSQL の場合、サービス マネージド キーを使用したインフラストラクチャの二重暗号化のサポートには、次の制限があります。
この機能のサポートは、General Purpose および Memory Optimized 価格レベルに限定されています。
この機能は、16 TB までのストレージをサポートしているリージョンとサーバーでのみサポートされています。 最大 16 TB のストレージをサポートする Azure リージョンの一覧については、ストレージのドキュメントを参照してください
Note
- 上記のリージョンで作成されたすべての新規 PostgreSQL サーバーは、カスタマー マネージャー キーによる暗号化もサポートしています。 この場合、特定のポイントインタイム リストア (PITR) または読み取りレプリカによって作成されたサーバーは、"新規" とは見なされません。
- プロビジョニングされたサーバーによって最大 16 TB がサポートされているかどうかを検証するには、ポータルの [価格レベル] ブレードにアクセスして、ストレージ スライダーを 16 TB まで動かせるか見て確認できます。 スライダーを最大 4 TB までしか動かせない場合、カスタマー マネージド キーを使用した暗号化がサポートされていない可能性があります。ただし、データは常にサービス マネージド キーを使用して暗号化されます。 質問がある場合は、AskAzureDBforPostgreSQL@service.microsoft.com までご連絡ください。
次のステップ
Azure Database for PostgreSQL のインフラストラクチャの二重暗号化を設定する方法について説明します。